返回
一种基于综合行为特征的恶意代码识别方法

一种基于综合行为特征的恶意代码识别方法

ID:36773979

大小:346.53 KB

页数:5页

时间:2019-05-15

一种基于综合行为特征的恶意代码识别方法_第1页
一种基于综合行为特征的恶意代码识别方法_第2页
一种基于综合行为特征的恶意代码识别方法_第3页
一种基于综合行为特征的恶意代码识别方法_第4页
一种基于综合行为特征的恶意代码识别方法_第5页
资源描述:

《一种基于综合行为特征的恶意代码识别方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第4期电子学报Vol.37No.42009年4月ACTAELECTRONICASINICAApr.2009一种基于综合行为特征的恶意代码识别方法11112刘巍伟,石勇,郭煜,韩臻,沈昌祥(1北京交通大学计算机与信息技术学院,北京100044;2北京工业大学,北京100124)摘要:基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法IBCDA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基

2、础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.关键词:行为特征;攻击树;恶意代码;病毒检测+中图分类号:TP3092文献标识码:A文章编号:03722112(2009)04069605AMaliciousCodeDetectionMethodBasedonIntegratedBehaviorCharacterization11112LIUWeiwei,SHIYong,GUOYu,HANZhen,SHENChangxi

3、ang(1.CollegeofComputerandInformationTechnologyBeijingJiaotongUniversity,Beijing100044,China;2.BeijingUniversityofTechnology,Beijing100124,China)Abstract:Theexistingmaliciouscodedetectionalgorithmswhicharebasedonindividualbehaviorshavesomedrawbacks.Inthispaperwepresentanewmaliciousc

4、odedetectionalgorithmbasedonbehaviorcharacteristicsbyimportingimprovedattacktreemodeltodescribetheentityrelationshipsduringthemaliciouscodeexecutiontime.ItisnamedIBCDA.Theexperimentsresultshowsthattheproposedalgorithmworksinmostcasesofdetectionandonlyhasminorerrorsinfewconditions.Th

5、isalgorithmhasverypositivesenseforunknownmaliciouscodedetection.Keywords:behaviorcharacterization;attacktree;maliciouscode;virusdetection流.同样,要解决未知类型恶意代码的判定问题,基于代1引言码行为的动态判定必然也会成为重要手段.目前最典型信息化技术在推动业务信息化和网络化快速发展的恶意代码行为判定方法是基于系统调用序列异常模的同时,也给用户的业务信息系统带来了越来越严重的式和参数的检测方法[12,13],但是这类方法

6、的一个缺陷安全威胁[1],恶意代码攻击一直是倍受关注的安全问是高误判率,Tan[14]等人对其中原因进行了一些深入的题,恶意代码识别技术也一直是信息安全研究的重分析,认为这种误判可能来源于组成系统的环境在很大[2~6]点.程度上被忽略了,也就是孤立的行为本身并不能作为判识别恶意代码的方法有很多,最典型的就是基于恶断代码行为恶意性的充分依据.因此我们在设计分析方意代码特征指令序列的静态判定方法,它已广泛地应用法时必须要充分考虑全局和主体间的相互影响关系.于各类杀毒软件中,但是这种方法最严重的缺陷是不能本文通过引入改造的攻击树模型描述恶意代码执对变体或未知特征的恶意

7、代码进行准确判断.尽管有些行过程中相关各主体间的关系,在此基础上提出了一种[7][8]研究从代码结构和语义结构上提出了一些有效的以代码的综合行为特征为依据的恶意代码检测方法,具[9][10]反变体识别方法,但是,Landi和Myers等人认为恶有以下优点:意代码静态分析中有几个重要的问题是不可判定或计(1)不仅关注代码的单个行为,而且针对代码表现算困难的.的所有行为特征进行综合分析,因此检测的结果不再是[11]DavidGeer认为基于行为的网络安全将成为主对敏感操作行为的提示和预警,而是对恶意代码的准确收稿日期:20080321;修回日期:200806

8、03基金项目:国家863

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。